Die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) hat am 24. November 2025 eine Resolution zur Nutzung internationaler Cloud-Dienste im öffentlichen Sektor veröffentlicht. Sie sieht vor, dass bei der Verarbeitung besonders schützenswerter oder geheimhaltungspflichtiger Personendaten künftig auf den Einsatz von Software-as-a-Service (SaaS)-Anwendungen verzichtet wird. Die Auslagerung sensibler Daten ohne ausreichende Schutzmechanismen wird von Datenschützern als unzulässig eingestuft. Rechtlich bindende Wirkung entfaltet die Resolution jedoch nicht.
Datenverarbeitung mit Verantwortung
Die Schweizer Datenschutzbehörden betonen die besondere Verantwortung des öffentlichen Sektors für die Daten seiner Bürger. Bei der Inanspruchnahme von Dienstleistungen Dritter müssen öffentliche Organe eine Risikoanalyse im Einzelfall durchführen und die festgestellten Risiken zumindest auf ein tragbares Maß reduzieren. Primär ist die Einhaltung von Datenschutz und Informationssicherheit zu gewährleisten. Entsteht bei der Nutzung von Cloud-Diensten ein Nachteil für die betroffene Person, soll die Auslagerung von Datenverarbeitungen teilweise oder umfassend nicht mehr zulässig sein.
Die Risiken von Cloud-Diensten
Cloudbasierte Software ermöglicht eine kundenorientierte und flexible Bereitstellung von IT-Ressourcen, die in Echtzeit angepasst werden können. Durch sog. „Public Clouds“ ist es möglich, eine Online-Infrastruktur zu schaffen, die Rechen- und Speicherleistungen direkt nach dem Bedarf der Kunden zuweist.
Schwachstellen ergeben sich jedoch insbesondere bei der technischen Umsetzung. Besonders sensible Daten sind vor dem unbefugten Zugriff durch Dritte zu schützen. Dabei soll das jeweilige öffentliche Organ die Daten bei der Übertragung verschlüsseln und den Schlüssel nur für sich verfügbar halten. Viele SaaS-Anwendungen bieten allerdings keine Ende-zu-Ende-Verschlüsselung an, die einen Zugriff auf die Klartextdaten verhindere. Der damit einhergehende Kontrollverlust erhöhe die Wahrscheinlichkeit für Rechtsverletzungen. Bemängelt wird zudem der Mangel an Transparenz durch globale Firmen und die damit einhergehende Schwierigkeit, technisch geeignete Maßnahmen zu implementieren, Mitarbeitende zu kontrollieren oder einheitliche Vertragsbedingungen zu schaffen.
US-Cloud-Act
Besonders problematisch sei auch der US-Cloud-Act. Er verpflichtet Anbieter zur Herausgabe von Personendaten an nationale Behörden selbst dann, wenn die Daten physisch in der Schweiz gespeichert sind. Diese Rechtslage stehe im Widerspruch zum hohen Stellenwert von Datenschutz und Amtsgeheimnis in der Schweiz. Weder technische Schutzmaßnahmen noch vertragliche Regelungen können eine Herausgabepflicht gegenüber ausländischen Behörden verhindern. Die Schweiz legt großen Wert auf staatliche Souveränität und Geheimhaltungspflichten, kann den Zugriff von US-Anbietern jedoch nicht ausschließen.
Fazit
Die Resolution von Privatim richtet sich primär an staatliche Stellen. Behörden in der Schweiz stehen vor der Aufgabe, geeignete IT-Strategien zu entwickeln, die den Schutz sensibler und geheimhaltungspflichtiger Daten vollumfänglich gewährleisten. Die Resolution könnte die Diskussion über Datensouveränität weiter anregen, auch grenzübergreifend. Wer Cloud-Dienste meiden will, muss auf lokale Server oder europäische Anbieter mit strenger Datenhoheit setzen.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
